Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>>>No ale najpierw podobno zalogowali się przez Internet. To mógł być
>>>rzeczywiście np. key logger lub inna strona wyłudzająca hasła,
>>>i w związku z tym klientka przyczyniła się do całej sprawy. Z tym,
>>>że
>>>to bank wybrał takie a nie inne możliwości identyfikacji klienta
>>> (najtańsze dla niego), typowy klient nie jest w stanie żadnym
>>> sposobem
>>>zapewnić bezpieczeństwa tym informacjom (login + pojedyncze hasło).
>
>> Jak widac - nie tylko na tym bank polega.

>No ale w tym przypadku wygląda na to, że tylko ta "tajna" informacja
>(hasło do konta) wystarczyła.

Nawet nie wiem czy bylaby potrzebna, ale cytujac

-nieznany sprawca próbował, bez powodzenia, trzykrotnie zmienić hasło
w bankowości internetowej. Dostęp do serwisu transakcyjnego został
zablokowany.
-Nieznany sprawca zalogował się do serwisu bankowości telefonicznej
(podając numer klienta i telekod) i ustalił nowe hasło do bankowości
internetowej.
-Złodziej połączył się z infolinią banku, zalogował się i podając się
za posiadacza rachunku zlecił pracownikowi dokonanie zmiany numeru
telefonu, na który przesyłane są hasła jednorazowe SMS.
-Pracownik infolinii zweryfikował dane podawane przez połączoną osobę,
uzyskał poprawne odpowiedzi i ręcznie zaktualizował numer telefonu.
-Nieznany sprawca zalogował się do serwisu bankowości internetowej i
zlecił przelew na ponad 120 tys. zł.

Wychodzi na to, ze poznal telekod. Dziwne to troche, bo jego sie
niemal nie uzywa.
Klientka niefrasobliwie udostepnila ? (*)

A gdyby tak niefrasobliwie udostepnila telefon, na ktory przychodza
SMS ?
Albo ksiazeczke czekowa ?
Albo dowod osobisty ...

>> Trudno wymagac od czlowieka, aby siedzial wgapiony w swoj telefon.
>Jasne, ale jeśli ktoś już zobaczył, że coś jest nie tak, to powinien
>upewnić się, że to tylko błąd. To może pomóc.

Ale juz za pozno :-)

>> Z drugiej strony ... a jak poprosze wspolnika, zeby zadzwonil do
>> infolinii i poprosil o zmiane numeru ?
>> Na haslo odpowie "oj, tego to nie pamietam", a reszte niezbyt
>> trudnych
>> do zdobycia danych mu podpowiem ...
>Jest to ryzyko banku. Dokładnie tak samo te dane może mieć ktoś
>zupełnie
>obcy.

Jakies to niesymetryczne mi sie wydaje.
Moze i tak ma byc ... a moze w razie wykrycia oszustwa powinno byc 10
lat dla obu.

Tylko co znaczy "wykrycia" - bank zglosi, a sedzia rejonowy uzna, ze
jest wystarczajaco prawdopodobne :-)

>> W zasadzie tak.
>> Z drugiej strony - chcemy autoryzacje przez sms, to trzeba
>> przewidziec, ze utrata telefonu sie czasem zdarza.
>Jasne, ale wtedy typowo klient kupuje nowy telefon i otrzymuje nową
>kartę SIM, ze starym numerem. Zwłaszcza jeśli od tego zależą jakieś
>niesymboliczne pieniądze na koncie.

Ale sytuacja gdy biore nowa umowe z nowym numerem, a stara wygasa juz
chyba jest w miare normalna.

>> Owszem ... tylko pamietaj, ze mBank wyrosl izolujac klienta od
>> oddzialow (ktorych BRE mial jednak troche).
>> Teraz jest inaczej ... ale do oddzialu klient moze miec daleko.
>Takie życie - możliwości jest więcej.

Oby sie tylko nie skonczylo ze "pieniedzy nikt nie ukradl, ale dostep
ma do nich tylko osoba znajaca haslo".
I ciekawe, czy sad cos tu moze pomoc, skoro taka umowa :-)

>> Z kolei taki Lukas przy resecie hasla zazyczyl sobie w oddziale
>> dwoch
>> dokumentow ze zdjeciem.
>> No i tak sie zaczalem zastanawiac - paszport nie jest jeszcze w
>> kraju
>> obowiazkowy, PJ tez nie, legitymacje pracownicze w duzej czesci sie
>> skonczyly, ksiazeczki zdrowia znikly ... co by tu pokazac.

>Domyślam się że możliwości także było więcej. Tyle że np. mogły nie
>być
>tak szybkie.

Moglem wpisac kod do kontaktow z oddzialem ... tylko kto by go
pamietal przez tyle lat nieuzywania :-)

J.